河北网通测试报告初稿.docx

1、河北网通测试报告初稿河北网通Check Point安全产品测试报告（初稿）2006-3-26 1.前言随着计算机网络的发展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的影响也越来越大。城域网作为城市主要的数据业务承载网络，特别是电子商务（E-Commerce）、企业数据专线、网络互联、虚拟专用网（VPN）、Internet接入服务等应用在社会经济生活的地位日益凸现。网络的安全性直接影响到社会的经济效益。例如，2003年1月份的SQL杀手蠕虫事件，中国有两万多台数据库服务器受到影响，使国内主要骨干网全部处于瘫痪或半瘫痪状态；2003年8月份的冲击波蠕虫，使成千上万的用户计算机变慢，被感

2、染的计算机反复重启，有的还导致了系统崩溃，受到“冲击波”病毒感染的计算机反过来又会影响到网络的正常运行。随着网络安全问题重要性增加，如何保证城域网安全，应对日益增多的网络攻击、病毒破坏和黑客入侵等问题已成为城域网建设和运营所关注的重点。本测试建议按照Check Point针对河北网通提交的城域网安全方案制定，主要目的在于验证方案在河北网通城域网中的可用性，适用性和扩展性。2.参考标准RFC2544/2647GB/T 18336-2001信息技术安全技术信息技术安全性评估准则GB/T18019-1999信息技术包过滤防火墙安全技术要求GB/T 18020-1999信息技术应用级防火墙安全技术要求

3、等3.虚拟防火墙测试3.1测试平台参考实际的防火墙使用环境建立测试平台，分别模拟内部网络、公共网络。3.1.1 测试拓扑（1）6808通过策略路由区分用户，将重要用户流量送到Check Point VSX上的虚拟防火墙VS1和VS2进行访问控制和攻击防护。Check Point VSX直接通过一条物理链路上连到7609，7609上写静态路由将到重要用户网段的流量送回Check Point VSX。（2）6808通过策略路由区分用户，将重要用户流量送到Check Point VSX上的虚拟防火墙VS1和VS2进行访问控制和攻击防护。Check Point VSX通过一条物理链路连回6808，68

4、08通过trunk利用原有物理链路上连7609，7609上写静态路由将到重要用户网段的流量送到Check Point VSX。（3）在7609上起 VRF，与客户A关联；在6808上起VRF，分别与Check Point VSX和客户B关联。客户A和客户B需要访问互联网时，通过MPLS到达与Check Point VSX相连的VRF，6808通过trunk将流量送到Check Point VSX。Check Point VSX根据VLAN标识将流量分配到相关虚拟防火墙VS1和VS2。虚拟防火墙VS1和VS2实施NAT，并进行访问控制和攻击防范。Check Point VSX通过一条直接物理链路

5、上连到7609。（4）在7609上起 VRF，与客户A关联；在6808上起VRF，分别与Check Point VSX和客户B关联。客户A和客户B需要访问互联网时，通过MPLS到达与Check Point VSX相连的VRF，6808通过trunk将流量送到Check Point VSX。Check Point VSX根据VLAN标识将流量分配到相关虚拟防火墙VS1和VS2。虚拟防火墙VS1和VS2实施NAT，并进行访问控制和攻击防范。Check Point VSX通过一条物理链路连回6808，6808通过trunk利用原有物理链路上连7609。3.1.2 测试设备1Check Point V

6、SX/Crossbeam防火墙一台26808和7609各一台3预装Windows 2000 Server的PC服务器若干4笔记本电脑或台式机若干（至少三台）3.2 测试方法1普通重要用户集中互联网访问控制：通过策略路由将数据包送往不同的虚拟防火墙处理2MPLS用户的集中互联网访问控制通过VLAN trunk将MPLS用户流量送往不同的虚拟防火墙处理3.3 功能测试3.3.1 防火墙设备和策略基本管理【测试目标】通过实现主要的防火墙管理功能验证待测系统操作界面的配置能力和可以实现的配置项目，以及对系统的管理功能。【测试步骤】步骤测试内容1. 初始化设置系统2. 以不同用户等级登录系统3创建设备本

7、身的安全访问列表Any, Any, Any, Accept4校验策略5安装策略6登录系统远程管理【测试结果】测试项目测试结果1. 用户界面支持命令行(CLI)（）是/否Web界面（）是/否GUI界面（）是/否控制台管理（）是/否其他 6. 多级用户管理：修改对象（）是/否修改策略（）是/否完全权限（）是/否9. 基本防火墙管理功能：1）登录用户名/口令（）是/否其他 RADIUS,证书 2）策略创建基于用户创建策略（）是/否基于组创建策略（）是/否基于IP地址创建策略（）是/否基于端口创建策略（）是/否3）安装校验策略支持策略校验（）是/否11. 远程管理：Web界面支持SSL（）是/否支持S

8、SH（）是/否版本_V2_专用客户端加密（）是/否小结Check Point虚拟防火墙VSX具有丰富的管理功能。可以进行本地管理，也可以通过远程管理。具有专用管理客户端软件，Web和命令行管理方式，提供给用户多种选择。虚拟防火墙VSX的策略配置非常直观且易于设定。尤其提供策略验证功能，在规则很多且前后有冲突时，可以进行自动检测，并提示用户，从而有效地避免错误的发生。3.3.2 虚系统检测对虚拟系统的支持情况。虚拟系统可以在一个物理的设备虚拟出多个逻辑设备，各个虚拟系统之间都是独立的。【测试目标】测试系统是否提供对虚拟系统的支持及相应的工作模式的配合。【测试步骤】步骤测试内容1通过防火墙管理界面

9、定义虚拟路由器2通过防火墙管理界面定义虚拟交换机3通过防火墙管理界面定义虚拟防火墙（路由模式）4定义安全策略，测试虚拟防火墙工作状态5通过防火墙管理界面定义虚拟防火墙（透明模式）6定义安全策略，测试虚拟防火墙工作状态【测试结果】测试项目测试结果虚拟防火墙支持（）是/否虚拟路由器支持（）是/否虚拟交换机支持（）是/否虚拟防火墙路由模式支持（）是/否虚拟防火墙透明模式支持（）是/否小结Check Point虚拟防火墙VSX可以实现完整的虚拟网络环境。它可以虚拟路由器，交换机，路由模式防火墙和桥模式（透明模式）防火墙。同时路由模式防火墙和桥模式防火墙可以共存，具有灵活的适应性。3.3.3 状态监测状

10、态监测是根据安全策略实施对通过防火墙的数据流进行控制，允许通过或采取相应措施。防火墙系统的安全规则，每一条策略都包括条件域、动作域和选项域，当有IP包进入时，系统在安全策略中从第一个策略开始查起，如果符合，然后执行该策略指示的动作，状态检测技术针对协议，抽取连接的状态信息，并建立状态连接表。当没有一条合适的策略时，系统的默认动作是拦截。【测试目标】测试防火墙的状态检测机制是否正常，防火墙系统的安全规则的构成要素的是否清晰、详细，安全策略能够是否得以可靠执行。状态连接表是否可以正常建立，并具备安全性和可靠性。【测试步骤】步骤测试内容1根据条件域建立源地址/掩码为（_._._._/_）, 目的地址

11、/掩码为（_._._._/_）, 协议为_的安全策略。2根据选项域，选择日志选项、报警选项。3动作项选择Drop。4使用笔记本或台式机模拟客户端，发起对服务器的访问，观察日志，如数据包被丢弃，则安全策略生效。5重复1、2步骤，动作项选择Reject。6使用笔记本或台式机模拟客户端，发起对服务器的访问，观察日志，如数据包被拒绝，并返回信息，则安全策略生效。7重复1、2步骤，动作项选择Accept。8使用笔记本或台式机模拟客户端，发起对服务器的访问，观察日志，如数据包通过防火墙，则安全策略生效。【测试结果】安全策略构成测试结果条件域源地址/掩码（）是/否源端口（）是/否目的地址/掩码（）是/否目的

12、端口（）是/否传输协议（）是/否其他 选项域日志（）是/否时间（）是/否告警（）是/否其他 动作域允许（）是/否阻止（Drop）（）是/否拒绝（Reject）（）是/否其他 状态表有效性检测结果状态表有效性安全规则有效（）是/否TCP连接建立有效性（）是/否UDP虚连接建立有效性（）是/否ICMP连接建立检测（）是/否小结Check Point虚拟防火墙VSX采用Check Point发明且拥有专利的状态监测技术设置规则对流量进行访问控制。规则设定可以根据源地址/掩码，源端口，目的地址/掩码，目的端口，协议类型，时间，采取接受，丢弃和拒绝的行动，并决定对匹配流量是否审计如记录日志，报警等。Ch

13、eck Point的状态监测技术不是简单的端口控制，而是基于协议的控制，它不仅检查端口，还要检查通信是否符合该协议的定义，跟踪协议的执行过程以判断流量是否符合预期用法。例如，如果定义一个tftp服务器使用udp 53进行通信，而在Check Point防火墙上定义只有dns(udp 53)流量才能通过，结果是tftp流量虽然利用udp 53,但由于不是dns流量，通讯被防火墙拒绝。3.3.4 支持的服务类型【测试目标】测试防火墙系统所能支持的服务类型，以确认防火墙可以为用户提供安全防护的范围。【测试步骤】查看防火墙配置界面，确认预定义服务；对于未定义服务，通过防火墙配置界面手工添加。【测试结果

14、】预定义协议测试结果Daytime（）是/否Discard（）是/否DNS（）是/否Echo（）是/否Exec（）是/否Finger（）是/否FTP（）是/否Gopher（）是/否Http（）是/否Https（）是/否H323（）是/否ICMP（）是/否IGMP（）是/否IKE（）是/否IMAP（）是/否IPsec（）是/否IRC（）是/否Kerberos（）是/否LDAP（）是/否NBT（）是/否NCP（）是/否Netmeeting（）是/否NFS（）是/否NNTP（）是/否NTP（）是/否OSPF（）是/否PC Anywhere（）是/否POP2（）是/否POP3（）是/否PPTP（）是/

15、否Radius（）是/否Redirect（）是/否RIP（）是/否SHELL（）是/否SIP（）是/否SMTP（）是/否SNMP（）是/否Syslog（）是/否Tacacs（）是/否Tacacs+（）是/否Telnet（）是/否Tftp（）是/否Time（）是/否Traceroute（）是/否UUCP（）是/否X11（）是/否协议自定义支持测试结果支持协议定义TCP任意（）是/否UDP任意（）是/否其他_ICMP，RPC，DEC-RPC，IP_小结Check Point虚拟防火墙VSX预先定义的服务、协议和应用支持的数量超过160种，同时用户还可以自行定义，进行方便的扩展。此次测试中，受测试设

16、备和环境所限，只测试了一些常用服务，如http, ftp, dns, smtp, pop3, icmp, nbsession, Microsoft-ds等，防火墙可以很好的识别并对其进行访问控制。对于其它协议，通过查看防火墙管理配置界面，发现在Check Point防火墙中均有定义。协议的扩展也非常简单，对于新的协议的支持，一方面可以通过升级从厂家获得，另一方面用户可以通过管理界面进行非常方便的自定义。3.3.5 网络地址转换网络地址转换可以解决正式注册IP不足的问题，可以对进入的IP包进行转换，实际应用为地址映射和重定向。防火墙系统的地址转换规则分为地址映射和重定向两种。【测试目标】确认产品

17、NAT配置的灵活性和方便性。【测试步骤】步骤测试内容1复位系统，测试环境初始化；2在控制工作站上进入待测防火墙的管理界面，设置好各快速以太网口的IP地址。3由于待测系统的默认动作是拦截，为了使问题单一和集中，我们把待测防火墙系统设置为可以通过所有IP包，加入安全规则：条件：源地址类型/地址/端口网络/所有/所有目标地址类型/地址/端口网络/所有/所有动作：通过4加入地址转换（NAT）规则N:1 1:1方式【测试结果】测试项目测试结果1：1（）是/否N：1（）是/否小结Check Point虚拟防火墙VSX可以支持静态地址转换（一对一）和动态地址转换（多对一）。3.3.6 网络日志和报警功能防火

18、墙系统的网络日志功能包括网络日志和网络监测，网络日志是指将所有对被限制资源进行访问的请求记录下来，而不让尝试访问的人知道。网络监测可以对所有流过防火墙的IP包进行记录。3.3.6.1网络日志测试【测试目标】测试目的在于考察待测防火墙是否具有网络日志的功能。【测试步骤】步骤测试内容1建立安全策略：条件域：的源地址/掩码为（_._._._/_）, 目的地址/掩码为（_._._._/_）, 协议为_。动作域：选择Drop。选项域：选择日志选项。2模拟数据流量，观察网络日志。3实施系统管理员操作，观察管理员日志。4重新启动系统，观察系统日志。5检索指定字段值的日志，如指定源地址的日志。6将日志输出到文

19、件7如果具有日志分析功能，使用日志分析功能，生成报表。3.3.6.2网络报警测试【测试目标】测试目的在于考察待测防火墙系统是否具有网络报警的功能。【测试步骤】步骤测试内容1根据条件域建立源地址/掩码为（_._._._/_）, 目的地址/掩码为（_._._._/_）, 协议为_的安全策略。根据选项域，选择报警选项。动作项选择Drop。2模拟触发报警的数据流量。3观察报警情况。【测试结果】测试项目测试结果日志项网络日志防火墙日志（）是/否VPN日志（）是/否攻击防护日志（）是/否管理员日志（）是/否日志功能日志的完整性测试可提供日志项超过200项日志过滤功能（）是/否日志输出功能日志服务器（）是/

20、否文件输出（）是/否日志分析功能自带日志分析功能（）是/否第三方日志分析接口（）是/否何种接口： LEA 其他 报警SNMP报警（）是/否邮件报警（）是/否界面报警（）是/否其它报警方式 用户自定义 小结Check Point虚拟防火墙VSX可以提供丰富的日志功能，可以提供的日志项超过200项，由于对流量检查得比较深入，所以几乎所有用户关注的选项Check Point均可提供。Check Point提供专有日志服务器存储日志，日志服务器采用数据库形式存储数据，所以既可以提供实时日志，也可以提供历史日志。日志存储容量的大小仅与硬盘大小有关。为了方便日志转储，Check Point提供自动日志切换

21、功能，比如在凌晨一点进行日志切换，即将现有活动日志存贮为文件，同时打开一个新的活动日志。存储的日志文件可以拷贝或备份到其它介质。为了避免日志容量过大占据全部硬盘空间，从而影响系统，Check Point提供自动硬盘剩余空间检测功能，用户可以设置硬盘剩余空间多少时，防火墙报警；硬盘空间剩余多少时，防火墙不再记录日志等。日志服务器支持冗余，可以指定第二台日志服务器。防火墙可以同时发送日志给两台日志服务器，也可以定义防火墙发送日志到主日志服务器，当主日志服务器不可用，防火墙发送日志到备份日志服务器。Check Point防火墙可以提供管理员审计日志，例如管理员名字，何时登录，作了何种操作等，均被记录

22、，便于排错。Check Point可以提供接口LEA（日志输出API）供第三方接收并分析日志数据。除了控制台，snmp和mail报警外，用户可以自定义三种报警方式。将用户自定义报警（如发短信）脚本或程序放在Check Point中央管理服务器相关目录，在流量触发报警后，防火墙会调用用户自定义脚本或程序通知用户。Check Point自带报表功能，通过对日志进行分析，可以对网络状况，攻击和规则库作出统计，供决策分析。例如可以提供规则库分析，哪条规则的匹配次数最多，流量最大，便于用户调整规则库。例如可以提供某一台防火墙流量最大前5种服务是什么，便于管理员对网络状况有更清晰的了解。例如可以提供针对被

23、保护用户的攻击分析，使用户了解在一段时间内所受到的攻击以及防火墙提供的保护。3.3.7 入侵防御功能入侵检测能力作为一个功能模块运行在防火墙的内部，与防火墙紧密结合在一起，所以相对于标准的网络入侵检测系统NIDS，有一些不同的特点，但是可以满足在一些没有部署IDS地方与防火墙一起部署提供一个更高安全性。【测试目标】考察系统是否支持内嵌的入侵检测功能、能够检测的攻击特征（Signature）的数量以及是否能够按照用户的配置来基于防火墙的访问策略来选择是否进行入侵检测，并考察是否提供日志、报警、特征库升级和阻断攻击的能力。【测试步骤】步骤测试内容1观察防火墙攻击防御部分设置，查看可防御攻击种类和范

24、围2模拟几种攻击测试，查看结果【测试结果】测试项目测试结果入侵防御功能模块是否提供全局开关（）是/否对每个具体的攻击可配置是否启用（）是/否对每个具体的攻击可自定义告警方式（）是/否对每个具体的攻击提供的告警方式的种类Snmptrap （）是/否Email （）是/否对每个具体的攻击可自定义是否采用监听模式（）是/否对检测到的入侵事件提供日志（）是/否方便地进行攻击库的升级（）是/否小结Check Point虚拟防火墙VSX通过SmartDefense工具对攻击进行防护，它不仅可以防范网络层的攻击，也可以防范应用层的攻击。SmartDefense可以工作在监听模式，即只检查并记录日志，但不采取

25、拦截动作，从而可以更好的适应用户网络。Check Point可以提供攻击分类库和底层代码的在线升级功能，从而保证可以防御最新的攻击。本次测试，由于条件有限，使用大包ping，红色代码蠕虫，尼姆达蠕虫进行测试，防火墙均有效拦截攻击，并在日志中显示相关条目。4.实体防火墙（非虚拟）测试4.1测试平台参考实际的防火墙使用环境建立测试平台，分别模拟内部网络、公共网络。4.1.1 测试拓扑4.1.2 测试设备1Check Point VPN-1 Pro/Crossbeam防火墙一台26808和7609各一台3预装Windows 2000 Server的PC服务器若干4笔记本电脑或台式机若干（至少三台）4

26、.2 测试方法在模拟环境中测试，验证防火墙在信任域与非信任域之间的访问控制能力。4.3 功能测试4.3.1 防火墙设备和策略基本管理【测试目标】通过实现主要的防火墙管理功能验证待测系统操作界面的配置能力和可以实现的配置项目，以及对系统的管理功能。【测试步骤】步骤测试内容3. 初始化设置系统4. 以不同用户等级登录系统3创建设备本身的安全访问列表Any, Any, Any, Accept。4校验策略5安装策略6登录系统远程管理【测试结果】测试项目测试结果14. 用户界面支持命令行(CLI)（）是/否Web界面（）是/否GUI界面（）是/否控制台管理（）是/否其他 19. 多级用户管理：修改对象（

27、）是/否修改策略（）是/否完全权限（）是/否22. 基本防火墙管理功能：1）登录用户名/口令（）是/否其他 RADIUS，证书 2）策略创建基于用户创建策略（）是/否基于组创建策略（）是/否基于IP地址创建策略（）是/否基于端口创建策略（）是/否3）安装校验策略支持策略校验（）是/否24. 远程管理：Web界面支持SSL（）是/否支持SSH（）是/否版本_V2_专用客户端加密（）是/否小结Check Point防火墙VPN-1 Pro具有丰富的管理功能。可以进行本地管理，也可以通过远程管理。具有专用管理客户端软件，Web和命令行管理方式，提供给用户多种选择。VPN-1 Pro的策略配置非常直观

28、且易于设定。尤其提供策略验证功能，在规则很多且前后有冲突时，可以进行自动检测，并提示用户，从而有效地避免错误的发生。4.3.2 状态监测状态检测是根据安全策略实施对通过防火墙的数据流进行控制，允许通过或采取相应措施。防火墙系统的安全规则，每一条策略都包括条件域、动作域和选项域，当有IP包进入时，系统在安全策略中从第一个策略开始查起，如果符合，然后执行该策略指示的动作，状态检测技术针对协议，抽取连接的状态信息，并建立状态连接表。当没有一条合适的策略时，系统的默认动作是拦截。【测试目标】测试防火墙的状态检测机制是否正常，防火墙系统的安全规则的构成要素的是否清晰、详细，安全策略能够是否得以可靠执行。状态连接表是否可以正常建立，并具备安全性和可靠性。【测试步骤】步骤测试内容1根据条件域建立源地址/掩码为（_._._._/_）, 目的地址/掩码为（_._._._/_）, 协议为_的安全策略。2